Ag1585 PDF

DOSSIER
Techniques de l’Ingénieur
l’expertise technique et scientifique de référence
ag1585
Étude systémique de l'analyse de risques -
Présentation d'une approche globale
Par :
Audrey DASSENS
Docteur de l'université de Haute Alsace, Laboratoire de Gestion des risques et environnement, Mulhouse
Richard LAUNAY
Ingénieur CEA, Saclay
Ce dossier fait partie de la base documentaire

Théorie et management des systèmes complexes
dans le thème Management industriel
et dans l’univers Génie industriel
Document délivré le 01/02/2013

Pour le compte
7200048361 - ensib // 195.221.38.253
Pour toute question :

Service Relation Clientèle • Éditions Techniques de l’Ingénieur • 249, rue de Crimée
75019 Paris – France
par mail : infos.clients@teching.com ou au téléphone : 00 33 (0)1 53 35 20 20
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Editions T.I.
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
Étude systémique de l’analyse

de risques
Présentation d’une approche globale
par Audrey DASSENS
Docteur de l’université de Haute Alsace
Laboratoire de Gestion des risques et environnement, Mulhouse
et Richard LAUNAY
1. Nécessité d’une nouvelle méthode ..................................................... AG 1 585 - 2

1.1 Complexité des entreprises......................................................................... — 2
1.1.1 Notion d’« entreprise » ....................................................................... — 2
1.1.2 « Entreprise », un système complexe ............................................... — 3
1.2 Complexité des risques et des accidents ................................................... — 4
1.2.1 Diversité des risques........................................................................... — 4
1.2.2 Accidents industriels aux causes et conséquences multiples......... — 4
1.3 Maîtrise des risques en entreprise : quelques rappels ............................. — 4
1.3.1 Gestion des risques au service de la maîtrise des risques .............. — 4
1.3.2 Outils et méthodes classiques d’analyse de risques ....................... — 5
1.4 Nécessaire ouverture vers une vision systémique ................................... — 5
2. Méthode pour une approche systémique de l’analyse
de risques ................................................................................................... — 6
2.1 Apports d’une approche systémique ......................................................... — 6
2.2 Grandes étapes de la méthode ................................................................... — 6
2.2.1 Analyse du système à étudier............................................................ — 6
2.2.2 Identification des événements redoutés ........................................... — 7
2.2.3 Évaluation des événements redoutés ............................................... — 8
3. Illustration de la méthode : le cas de Challenger............................ — 11
4. Conclusion .................................................................................................. — 19
Pour en savoir plus ............................................................................................. Doc. AG 1 585
es grands accidents industriels tels que Seveso, Bhopal, Challenger,

L Tchernobyl ou AZF ont souvent des causes profondes, diverses, et d’ori-
gine variée, identifiables par des analyses de risques a posteriori. Ces
analyses ont pour objectif de comprendre les enchaînements d’événements
qui ont pu conduire à l’accident. Elles permettent de capitaliser du retour
7 - 2008
d’expérience pour fixer de nouvelles politiques de prévention et/ou de protec-

tion vis-à-vis de sources de danger particulières afin d’éviter qu’un tel accident
ne se reproduise.
Ces accidents sont l’aboutissement de scénarii beaucoup plus difficilement
perceptibles de manière a priori. Ceci est d’autant plus vrai qu’aujourd’hui
notre société est soumise à des risques de plus en plus diversifiés et dont la
AG 1 585
survenance peut s’avérer improbable, comme par exemple pour les attentats
du 11 septembre 2001 à New York, ou encore l’explosion de l’usine d’AZF le
21 septembre 2001. Le passé ne peut donc plus seulement servir de base de
connaissance pour l’analyse des risques. Il faut recourir à des approches qui
puissent permettre d’anticiper des phénomènes qui ne se sont encore jamais
produits.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. AG 1 585 – 1
tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________
En plus des analyses de risques a posteriori, les décideurs ont à leur disposi-
tion des méthodes d’analyse de risques a priori. Ces dernières permettent, à
travers l’étude des systèmes, d’identifier les principaux scénarii d’accident pro-
bables. Les résultats de ces études permettent de hiérarchiser les risques et
facilitent la mise en place des moyens de protection et/ou de prévention néces-
saires à la maîtrise des risques.
Or, aujourd’hui, les experts s’interrogent sur les méthodes usuelles d’analyse
de risques a priori. Elles ne permettent plus, au regard des conclusions de
celles réalisées a posteriori, de réaliser des analyses poussées et suffisamment
fines ou complètes des systèmes industriels complexes dont ils ont la charge.
Malgré un ensemble de méthodes et d’outils disponibles dans le domaine de
la sécurité, nous déplorons toujours de nombreux accidents industriels,
comme en témoigne notamment la base Aria du Barpi.
Au-delà d’une vision toute théorique sur les capacités intrinsèques des sys-
tèmes complexes à déjouer les barrières mises en œuvre pour les stopper, il
est évident que le « préventeur » ne peut se résoudre à ce que les accidents se
produisent. Et ceci, d’autant plus que la société semble de plus en plus
« averse » aux risques subis, ce qui se traduit par des attentes importantes en
matière de responsabilité sociale des entreprises. Nous chercherons donc à
comprendre, à travers ce dossier, pourquoi les préventeurs à partir des outils
actuels mis à leur disposition ont des difficultés à mettre en œuvre des politi-
ques de gestion des risques efficientes conduisant à des résultats pertinents.
Ces insuffisances engendrent des insatisfactions, les parties prenantes internes
et externes à l’entreprise critiquent bien souvent la vision des experts internes
à l’entreprise et mettent en doute la validité des résultats obtenus. Mais,
au-delà de cette remise en cause externe, il est regrettable que les méthodes
mises en œuvre confortent chaque acteur dans un cloisonnement tout à fait
dommageable au rendu.
Ainsi, avant de présenter une nouvelle méthode d’analyse globale de ris-
ques, nous évoquerons les raisons qui nous ont poussés à en proposer une.
Viendra ensuite la présentation proprement dite de notre méthode. Elle
constitue une approche globale de l’analyse a priori des risques en entreprise
qui s’inspire largement des concepts de la Systémique. Enfin, le dossier se ter-
minera par une illustration de la méthode autour de l’accident de la navette
Challenger.
1. Nécessité d’une nouvelle 1.1 Complexité des entreprises

méthode 1.1.1 Notion d’« entreprise »
Nous présenterons, dans un premier temps, pourquoi l’entre- Le Petit Robert définit l’entreprise comme : « une organisa-
prise entendue comme système peut être qualifiée de complexe. tion autonome de production de biens ou de services
Cette complexité des systèmes industriels peut être à l’origine marchands ». Il est possible de préciser que c’est : « une
d’accidents aux causes multiples et conséquences variées qui combinaison dynamique de ressources, organisée pour
dépassent les seules frontières de l’entreprise. Ceci sera expliqué atteindre ou maintenir des objectifs dont les principaux sont :
dans un second temps. créer de la valeur, croître et maintenir l’emploi » [1].
Pour éviter que de tels accidents ne se produisent, les décideurs
mettent en œuvre des politiques de gestion des risques fondées Elle a deux fonctions ou missions [2] :
sur des méthodes d’analyse de risques a priori que nous rappel- – la première, au niveau individuel, relative à la production de
lerons dans une troisième partie. Nous montrerons que l’architec- biens ou de produits pour satisfaire les besoins des individus ;
ture de ces méthodes, basée sur un modèle cartésien, est mal – la seconde, au niveau de la société, relative à la création de
adaptée à l’analyse des phénomènes et systèmes complexes richesse qui consiste à générer par sa croissance propre un sur-
actuels. plus de valeur monétaire, en partie réinjecté dans les circuits éco-
Dans une quatrième partie, nous expliquerons comment la vision nomiques et contribuant à l’élévation du niveau de vie de la
systémique peut permettre une approche globale des systèmes et population d’un pays.
tendre vers un décloisonnement des acteurs nécessaire pour la Les hommes, la technologie, les marchés, les ressources finan-
mise en œuvre d’analyse de risques a priori. cières, les informations et les ressources commerciales sont des

AG 1 585 – 2 est strictement interdite. – © Editions T.I.

__________________________________________________________________________________________ ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES
données fondamentales pour l’entreprise [3]. Ce sont l’ensemble graphique, les infrastructures routières avoisinantes), les autres
des éléments qu’elle doit protéger si elle veut atteindre ses objectifs. entreprises, les contextes sociaux, économiques et politiques (tels
C’est une organisation socio-technico-économique qu’il n’est pas que la population avoisinante, les clients, les fournisseurs, la régle-
possible de réduire à un seul de ces aspects. Son équilibre, sa survie mentation en vigueur...) ;
et même son comportement vont dépendre du résultat de nom- – sa finalité (satisfaire les besoins de ses clients et créer de la
breux rapports de forces et de pouvoirs, aussi bien en interne, qu’en richesse) : les objectifs poursuivis par l’entreprise qui sont détermi-
externe. nés en fonction des attentes et besoins de l’ensemble de ses par-
ties intéressées (« ...une personne, communauté ou organisation
1.1.2 « Entreprise », un système complexe influant sur les opérations de l’entreprise ou concernée par
celle-ci...» [6] ;
– son activité (produire des biens ou des services) : c’est
Un système est défini comme un : « ...ensemble d’éléments l’ensemble des comportements de l’entreprise, les règles d’action
en interaction dynamique, organisés en fonction d’un et de production ;
but... » [2]. L’entreprise peut être considérée comme un sys-
tème car elle répond à cette définition. – sa structure : à la fois fonctionnelle (ses différents services ou
départements) et hiérarchiques (ses différentes catégories de sala-
riés, tels que les directeurs, les cadres, les agents de maîtrise et les
■ Les éléments doivent être compris comme les parties, les ouvriers) ;
constituants. Ils peuvent être eux-mêmes des ensembles d’autres
– son évolution (elle naît, elle croît, se développe, arrive à matu-
éléments, notamment des hommes et des machines.
ration et meurt) : c’est l’histoire et le devenir de l’entreprise.
L’entreprise est composée de divers éléments appelés les
« facteurs de production » [2] : ■ Un système complexe est constitué d’un ensemble d’éléments
– le travail (l’énergie fournie par les salariés) ; qui fait émerger de nouvelles propriétés ne se trouvant pas dans
les éléments eux-mêmes. Le système est alors doté de qualités
– le capital (les ressources financières et les équipements de
inconnues au niveau des simples éléments, c’est ce qui est traduit
production) ;
par la phrase : « le tout est plus que la somme des parties » ([7]
– l’énergie et les matériaux (combustibles, électricité, eau,
[8]). L’entreprise peut donc être qualifiée de système complexe car
matières premières, produits semi-finis...) ;
elle répond aux caractéristiques suivantes ([2] [9] [10] [29]) :
– les informations (le savoir-faire, les brevets, les licences, les
biens immatériels...). – ouvert : en effet, l’entreprise pratique de nombreux échanges
avec son environnement, elle y puise ses ressources (capitaux,
■ Les interactions qu’entretiennent ces éléments entre eux peuvent personnel, énergie, matières premières...), ce sont les flux entrants
être de natures diverses. À partir d’informations reçues, les tra- du système. L’environnement agit également sur l’entreprise sous
vailleurs transforment les matières premières et les produits finis forme de contraintes (règles juridiques, normes sociales,
en utilisant les équipements et les machines [4]. Ce process de pro- commandes...). Le système « entreprise » pourra à son tour réagir
duction a sa contrepartie économique sous forme monétaire. sur son environnement en émettant des flux sortants (rémunéra-
tions, produits finis, savoir-faire, investissement...). Ces échanges
Ce qui est le plus intéressant, ce sont les modifications que lui permettent d’atteindre sa (ou ses) finalité(s) et ce en maintenant
ces interactions vont créer, couramment appelées les sa structure et, éventuellement, en l’améliorant ;
« propriétés émergentes » [5]. Ces dernières témoignent de la – relationnel : en effet, l’entreprise utilise une grande variété de
capacité des systèmes à « créer » à partir de la simple associa- composants ou d’éléments possédant des fonctions spécialisées.
tion ou combinaison d’éléments organisés entre eux. Ces éléments sont reliés les uns aux autres par une grande variété
de liaisons, chacun étant plus ou moins connecté à toutes les
autres avec des liens hiérarchiques différents. Il en résulte une
Les interactions peuvent avoir deux grands types d’effets sur le
haute densité d’interconnexion ;
système :
– englobant : c’est-à-dire que le système analysé peut être
– une modification des caractéristiques quantitatives de certains lui-même considéré comme un élément d’un système aux
éléments, qui sont alors qualifiés de « modifiables » ; frontières plus vastes. L’ensemble des éléments constitutifs de
– une apparition ou disparition de caractéristiques qualitatives de l’entreprise, aussi bien ses services, que le découpage
certains éléments, qui sont alors qualifiés de « transformables ». homme-machine-monnaie sont organisés et s’englobent les uns
Ces éléments sont organisés, à travers l’organisation ou le dans les autres. Chaque fonction peut constituer un sous-système
management de l’entreprise qui est représenté par ses divers en lien avec les autres, de dépendance plus ou moins forte, afin de
départements ou services, et les réseaux de communication qui les constituer un « tout » spécifique à l’entreprise ;
relient. C’est l’organisation des éléments qui permet l’atteinte du – varié : en effet, l’entreprise peut revêtir de multiples
but ou de la finalité du système. configurations ou états qui témoignent de ses évolutions, soit stra-
tégiques, soit par les modifications de son environnement. Cette
■ L’organisation de l’entreprise se retrouve également au niveau
variété permet au système de s’adapter en permanence en
du découpage hiérarchique. C’est lui qui va permettre les transfor-
s’auto-organisant pour maintenir sa stabilité organisationnelle et
mations des instructions venant du chef d’entreprise et de son
fonctionnelle. Cette adaptabilité va dépendre des types de liaisons
équipe en actions concrètes sur le terrain engageant des moyens
entre les éléments et de la variété de ceux-ci ;
humains, matériels et financiers.
– auto-organisateur : les activités et le comportement global de
Tous ces éléments sont organisés en fonction d’un but qui est l’entreprise évoluent dans le temps pour répondre aux différentes
double dans le cas d’une entreprise : contraintes et évolutions de son environnement. Cette régulation
– produire des biens ou des services destinés aux marchés afin n’est pas totalement déterminée par l’extérieur, elle s’effectue par
de satisfaire les besoins de ses clients ; l’entreprise elle-même (et selon sa propre volonté) en fonction des
– créer de la richesse en générant par sa croissance propre un objectifs qu’elle s’est fixée (en réponse à sa politique générale).
surplus de valeur monétaire. Elle est donc capable de résister et de s’adapter aux changements.
Il se crée des propriétés nouvelles à la suite de rétroactions
■ L’entreprise en tant que système peut donc être caractérisée par : positives (le « plus » engendre le « plus ») et/ou négatives
– son environnement (tout ce qui entoure l’entreprise) : les objets (comportement adaptatif qui permet de garder l’ordre intérieur et
différents de l’entreprise (tels que son environnement naturel, géo- les objectifs à atteindre).


l’entreprise tels qu’une réglementation plus contraignante, un cli-

Causes mat social tendu, des retards de livraison, une mauvaise organisa-
tion, une communication interne défaillante ;
– périls issus de l’extérieur tels que les événements naturels, les
Source problèmes fournisseurs, les contrats, et issus de l’intérieur tels
Événement qu’une erreur humaine, une défaillance technique ;
de redouté
danger – stratégiques en lien avec le marché tels qu’une perte de clientèle,
Conséquences ou de parts de marché, une inadaptation aux besoins du marché.
Cibles
(dommages)
1.2.2 Accidents industriels aux causes
Figure 1 – Modèle du processus de danger simplifié
et conséquences multiples
Les risques encourus par l’entreprise peuvent aboutir à des
accidents industriels ou technologiques aux retentissements
médiatiques importants comme ceux apparus depuis les années
Absence de contrôle 1970 : Seveso, Three Miles Island, Bhopal, Challenger, Tchernobyl,
qualité AZF...
L’étude de ces différents accidents montre qu’ils sont l’aboutis-
sement de scénarii d’événements aux cheminements tortueux et a
Fournis- Non respect priori difficilement prévisibles, dont les sources de danger peuvent
seurs des contrats être internes ou externes. Des analyses approfondies des accidents
Matériel livré industriels sont effectuées au niveau national et européen.
Matériel
non conforme La base de données européenne Major Accident Reporting Sys-
tem (MARS), alimentée entre autre par la base de données Analyse
recherche et information sur les accidents (Aria) du Barpi (voir
Figure 2 – Modèle du processus de danger simplifié appliqué [Doc. AG 1 585]) précise que l’erreur humaine représente 64 % des
à un exemple
causes profondes à l’origine des accidents technologiques majeurs.
Celle-ci peut être imputable directement à l’opérateur (11 %) ou
1.2 Complexité des risques à des dysfonctionnements de l’organisation (53 %). Donc, outre la
simple compréhension de l’accident à travers une défaillance tech-
et des accidents nique, voire en étudiant l’erreur humaine, il est essentiel d’aborder
le système de manière plus globale sous son aspect socio-technique
Le fait que l’entreprise soit un système complexe va engendrer (relations entre les systèmes techniques et sociaux) et organisation-
une complexité de ses risques et des accidents dont elle peut nel (relations entre organisations).
potentiellement faire l’objet.
Tout comme pour les causes, les conséquences d’un accident
peuvent être multiples, aussi nombreuses que les cibles impactées.
1.2.1 Diversité des risques Elles sont économiques, sociales, techniques, et peuvent mettre en
Dans la littérature ([11] [12]) la notion de risque a une péril la pérennité de l’entreprise. Comme nous l’avons mentionné
connotation « quantitative ». C’est la mesure (en terme de probabi- précédemment, l’entreprise est un système ouvert qui échange des
lité et de gravité) de ce que nous appelons un événement redouté flux importants d’information, de matière et d’énergie avec son
qui est caractérisé comme un « dysfonctionnement entraînant des environnement et, plus particulièrement, avec ses parties intéres-
dommages (ou effets non souhaités) sur une des missions d’un sées externes. Du fait de ces interactions, toute défaillance de
des processus de l’entreprise, ou sur une de ses ressources, ou sur l’entreprise peut avoir des répercussions sur d’autres entreprises
son environnement ». Les missions, les ressources et l’environne- et, plus généralement, sur ses parties intéressées.
ment sont alors qualifiés de cibles.
Les conséquences des accidents ne s’arrêtent donc pas aux
Une cible est définie comme « ...un élément qu’on cherche à portes de l’entreprise et les répercussions des accidents enva-
protéger... ». Elle peut donc être d’ordre : hissent peu à peu toutes les strates de la société et dépassent
– économique (capital financier...) ; même parfois les frontières nationales.

– sociale (un travailleur, un riverain...) ;
– technique (une machine, un produit...) ;
– environnementale (eau, faune, flore...) ; 1.3 Maîtrise des risques en entreprise :
– organisationnelle (activité, tâche...). quelques rappels
Pour assurer sa pérennité, l’entreprise doit donc pouvoir maîtri-
Cet événement redouté résulte de l’activation (c’est-à-dire de ser les risques qu’elle encourt, mais aussi ceux qu’elle fait courir à
l’action de différents paramètres appelés des « causes ») d’une des tiers. Pour cela, les décideurs mettent en œuvre des démar-
source de danger qui est définie comme un « ...élément, état ou ches de gestion des risques qui leur permettent d’agir sur les fac-
situation présentant une potentialité de dommage... ». teurs de réduction de la vulnérabilité de leur entreprise.
Toutes ces notions peuvent être représentées par le modèle du
processus de danger simplifié (voir figure 1 et [31]) qui est illustré 1.3.1 Gestion des risques au service
par un exemple dans la figure 2. de la maîtrise des risques
L’entreprise est soumise à divers types d’événements
redoutés [13] : Pour maîtriser leurs risques, les entreprises disposent de
– financiers tels que la hausse des taux d’intérêts, le risque de gestionnaires de risques dont le rôle est « ...principalement
change, ou encore l’augmentation des matières premières ; d’identifier et de quantifier les risques, afin de proposer des
– opérationnels liés à la réglementation, à la culture d’entreprise, solutions pour les réduire et de contribuer à la mise en place
aux chaînes d’approvisionnement, au fonctionnement interne de des solutions retenues... » [13].


• La plupart des méthodes et outils d’analyse de risques repo-

Ils mettent en place des politiques de gestion des risques sent sur une démarche commune qui est la suivante :
définies comme « ...un processus par lequel les organisations
traitent méthodiquement les risques qui s’attachent à leurs acti- – 1ère étape : l’analyse technique et fonctionnelle du système.
vités, recherchant ainsi les bénéfices durables dans le cadre de Elle a pour objectif de comprendre le système étudié et ce au tra-
ses activités... » [14]. vers de ses composants et de la recherche de la compréhension de
ses finalités. C’est une modélisation du système étudié ;
– 2nde étape : l’analyse qualitative. Au-delà de la simple identifi-
Il existe différents référentiels pour aider les décideurs dans le
cation des dangers (recherche et identification des sources de dan-
déploiement d’une démarche de gestion des risques ([12] [15] [16]
ger), elle a pour objectif l’étude des processus de danger,
[17] [18]). Ces derniers font appel à une démarche plus ou moins
c’est-à-dire la recherche des événements redoutés ou défaillances,
commune reprise notamment dans la norme ISO/IEC guide
ainsi que les causes d’activation des sources de danger et les
73 [11] :
conséquences potentielles des événements redoutés ;
– 1ère étape : l’analyse de risques : utilisation systématique – 3ème étape : l’analyse quantitative. Elle permet de mesurer, de
d’informations pour identifier les sources de danger et pour esti- donner un poids aux événements redoutés ou défaillances analy-
mer les risques ; sés précédemment et ce en terme de probabilité d’occurrence et
– 2nde étape : l’évaluation des risques : processus de de gravité des effets. L’objectif final de cette étape est la hiérarchi-
comparaison du risque estimé avec des critères de risque donnés sation des événements redoutés ou défaillances du système ;
pour déterminer l’importance d’un risque ; – 4ème étape : la synthèse. Elle permet la mise en évidence des
– 3ème étape : le traitement et la maîtrise des risques : processus défaillances et de leurs modes de combinaisons. L’objectif est de
de sélection et de mise en œuvre des mesures (ou actions) visant déterminer les composants les plus critiques et ainsi de proposer
à modifier le risque. les améliorations techniques susceptibles de les maîtriser.
Nous voyons ainsi que l’analyse de risques est l’étape préalable
à toute démarche de gestion des risques. Ce sont les résultats ■ Une analyse critique de l’ensemble de ces méthodes ([22] [23])
obtenus lors de cette étape qui permettent de déterminer les montre que les méthodes classiques d’analyse de risques
actions de maîtrise à mettre en œuvre en priorité. D’un point de présentent trois principales limites :
vue purement technique et méthodologique, cette étape s’avère – un manque de prise en compte des agressions externes. Les
essentielle dans le processus de gestion des risques, le reste de la méthodes considèrent essentiellement les risques générés par
démarche relevant plutôt du management. l’entreprise sur son environnement et peu l’inverse ;
– une focalisation sur des aspects spécifiques. Ces méthodes,
bien que reposant sur une démarche commune, se focalisent sur
1.3.2 Outils et méthodes classiques des aspects spécifiques de la gestion des risques en fonction du
d’analyse de risques secteur dans lequel elles sont apparues (par exemple, l’Hazop se
■ Pour mener à bien ces démarches d’analyse de risques, les focalise sur les aspects physico-chimiques). Cette focalisation ne
industriels ont développé de nombreuses méthodes et outils pour favorise pas une approche globale du système ;
améliorer la fiabilité de leurs systèmes. Ces méthodes sont appa- – une vision essentiellement technique du système. Les
rues dans les années 1940 avec pour principale préoccupation de méthodes issues surtout du domaine de la sûreté de fonctionnement
laisser le moins possible de place au hasard. Une grande partie de sont principalement un savoir-faire de l’ingénieur, c’est-à-dire
ces méthodes ont pour objectif d’assurer la finalité technique du « technique ». Seuls les composants, les liaisons, et la fonctionnalité
système comme, par exemple, assurer le bon fonctionnement des systèmes techniques y sont étudiés. Les causes extra-techni-
d’une pompe. ques, c’est-à-dire sociales, économiques et organisationnelles, ne
sont pas prises en compte. Les analyses ne sont pas menées sous
Les années 1960 ont vu apparaître la plupart des méthodes les différents angles par des acteurs avec une vision différente du sys-
plus utilisées à l’heure actuelle telles que les arbres de défaillances, tème.
ou les arbres des causes [33]. Elles sont essentiellement issues de
secteurs où la fiabilité est un enjeu majeur tels que l’aéronautique,
l’armement et le nucléaire.
1.4 Nécessaire ouverture
De la notion de fiabilité est apparue la sûreté de fonctionnement,
qui est la science des défaillances qui comprend leur connaissance,
vers une vision systémique
leur évaluation, leur prévision, leur mesure et leur maîtrise. Des L’approche systémique, apparue fin des années 1970 ([2] [8] [24]
méthodes comme l’Analyse des modes de défaillance, de leurs [25]) s’est avérée être la démarche la plus appropriée pour étudier
effets et de leur criticité (AMDEC) ou l’HAZard OPerability (Hazop) les systèmes complexes. Elle permet une approche macroscopique
ont alors eu pour objectif de rechercher toutes les défaillances, pan- des systèmes dans leur contexte général et de manière transver-
nes, et leurs combinaisons qui peuvent compromettre la sûreté de sale. Elle a notamment l’avantage d’appréhender les systèmes :
fonctionnement du système. De nombreux ouvrages présentent ces
méthodes couramment utilisées ([19] [20] [21] [22] [30]). – de manière globale. Elle considère le système étudié comme un
tout, elle cherche à étudier les relations entre les éléments et les
■ En bref, les méthodes se distribuent autour de deux concepts sous-systèmes qui peuvent conduire à des propriétés émergentes ;
qui sont les démarches « inductives » ou « déductives ». – en tenant compte ainsi de son environnement. Elle considère
le système étudié dans son contexte et s’attarde sur l’étude des
• La démarche inductive oriente le raisonnement du particulier interactions qu’il entretient avec son environnement ;
au général en étudiant de façon détaillée les effets d’une
– avec une approche transdisciplinaire. Elle conduit à prendre en
défaillance identifiée sur le système lui-même et son environne-
compte plus de variables que d’autres approches et nécessite pour
ment (comme par exemple : l’analyse des modes de défaillances et
cela une ouverture des champs disciplinaires ;
de leurs effets, la méthode de la combinaison de pannes résu-
mées, la méthode de l’arbre des conséquences). – en tenant compte de leur dynamique. Elle insiste sur les trans-
formations des intrants en extrants qui ont lieu dans le système et
• La démarche déductive oriente le raisonnement du général au sur l’évolution du système dans le temps ;
particulier en supposant que le système est défaillant. Il faut – en fonction de ses finalités. Elle focalise l’analyse sur l’étude
rechercher toutes les causes pouvant conduire à cette défaillance. de ce qui est attendu par le système. Ce sont les finalités du sys-
La principale méthode déductive et la plus connue est l’Arbre des tème qui peuvent provenir de l’intérieur du système ou de son
défaillances. environnement.


L’approche consiste alors à élaborer des modèles plus proches mettent un décloisonnement des différentes fonctions. La méthode
de la réalité et donc capables de mieux appréhender la complexité se veut utilisable par l’ensemble des acteurs de l’entreprise et de
des systèmes en simulant leur comportement. Or, dans l’analyse manière transversale par l’utilisation de la cartographie des
de risques, la modélisation du système étudié joue un rôle primor- processus ;
dial. C’est le degré de finesse de la modélisation qui permettra à – une vision globale de l’entreprise. La méthode est basée sur
l’analyste de percevoir les causes possibles des dysfonction- une conception de l’entreprise en tant que système en l’abordant
nements du système étudié et ceci aussi bien sous l’angle tech- de manière globale à travers sa cartographie des processus et son
nique, économique, que social. découpage en cinq sous-systèmes ;
Cette modélisation plus proche du réel doit permettre à l’ana- – une vision de l’ouverture de l’entreprise. La méthode à travers
lyste de s’orienter vers une vision macroscopique, pour laisser aux l’étude de l’environnement de l’entreprise et de ses parties intéres-
experts la vision microscopique qui fera appel à toutes leurs sées focalise toute une partie de l’analyse sur l’identification des
compétences dans un second temps. L’analyste doit dans un pre- événements redoutés externes et leurs répercussions sur le sys-
mier temps aller à l’essentiel, c’est-à-dire que l’objectif principal tème entreprise. L’identification des conséquences des évé-
des analyses de risques globales doit être de prédire les princi- nements redoutés internes permet de prendre en compte
paux points faibles ou failles du système, et ce pour y remédier. également les interactions de l’entreprise sur son environnement ;
– une vision dynamique de l’entreprise. Cet aspect est abordé de
Nous voyons donc que l’approche systémique peut permettre de manière partielle par la méthode avec l’étape d’évaluation des évé-
remédier aux limites des méthodes classiques, qui sont le manque nements redoutés qui se base sur l’enchaînement des événements
de prise en compte de l’environnement, la focalisation sur des redoutés dans le temps. Notons qu’en tant que système complexe,
aspects spécifiques, une vision essentiellement technique. l’entreprise a un comportement difficilement prévisible. Cette
étape sert donc essentiellement à identifier les points les plus vul-
L’adoption d’approches plus globales et transdisciplinaires nérables du système (c’est-à-dire les événements redoutés nœuds
doit permettre d’appréhender la complexité des systèmes et influents) et non les accidents et les dérives qui vont se produire
industriels et de prévenir la réalisation des scénarii d’accident dans le système. Ce point a fait l’objet d’un développement métho-
aux causes multiples et variées. Les résultats de ces analyses dologique inspiré de travaux menés dans le domaine de l’analyse
doivent permettre ainsi d’effectuer des choix stratégiques les structurelle [31] ;
plus pertinents possibles basés sur une connaissance globale – une approche basée sur l’étude des finalités de l’entreprise.
des sources de danger et des vulnérabilités de l’entreprise. L’identification des événements redoutés est fonction de la
non-atteinte des finalités du système. L’objectif est de maîtriser les
facteurs pouvant mettre en péril l’entreprise, c’est-à-dire ceux qui
vont l’empêcher d’atteindre ses finalités (de répondre aux attentes
et besoins de ses parties intéressées).
2. Méthode pour
une approche systémique L’objectif de transversalité de la méthode nécessite un
décloisonnement des différents processus de l’entreprise. La
de l’analyse de risques mise en œuvre de cette analyse de risques, bien que conduite
sous la responsabilité d’une personne ressource (le gestion-
naire des risques), ne peut s’effectuer qu’en groupe multidisci-
Pour pallier le manque de transversalité des méthodes
plinaire afin que chacun apporte des compétences différentes.
existantes, nous proposons une nouvelle méthode pour une
approche globale de l’analyse de risques en entreprise. L’approche
proposée est inspirée de la méthode organisée systémique d’ana-
lyse des risques [31] et du modèle d’analyse des dysfonction- 2.2 Grandes étapes de la méthode
nements du système [26] pour la partie technique de l’analyse de
risques à travers, notamment, l’utilisation du modèle du processus Comme toutes les méthodes classiques, l’analyse globale des
de danger. Cette méthode intègre également l’étude des dysfonc- risques s’effectue selon les grandes étapes suivantes :
tionnements organisationnels et sociaux recherchés par les – analyse du système à étudier. Il est nécessaire d’analyser préa-
cindyniques [27]. lablement le système étudié afin de bien connaître ses activités et
ses finalités, sa structure et son environnement ;
Les cindyniques ou sciences du danger ont pour objectif de – identification des événements redoutés, pour trouver, recen-
rechercher les déficits systémiques cindynogènes des systèmes, ser et caractériser les événements redoutés ;
c’est-à-dire les déficits culturels, organisationnels et managé- – estimation – évaluation des événements redoutés. L’étape
riaux d’un système. Citons parmi ceux-ci la non-communication, d’estimation qui consiste classiquement à affecter des valeurs de
la dilution de responsabilités, l’absence d’un système d’exploi- probabilité d’occurrence et de gravité aux événements redoutés
tation du retour d’expérience, l’absence de formation. s’est avérée inutile en tant que telle dans l’approche globale d’ana-
lyse de risques que nous développons ici. Notre méthode préco-
nise de se baser sur l’étude des liens et des enchaînements
La méthode proposée ici est une adaptation des méthodes exis-
successifs entre les processus de danger.
tantes à une vision systémique de l’analyse de risques.
Les étapes de la méthode vont être présentées les unes après
les autres et illustrées par un extrait des résultats obtenus dans un
2.1 Apports d’une approche systémique centre hospitalier.
L’approche systémique appliquée à l’analyse de risques permet : 2.2.1 Analyse du système à étudier
– une vision transversale et transdisciplinaire de l’entreprise : la
préconisation d’un langage commun basé essentiellement autour Cette étape est indispensable pour fixer les limites du système
de la notion d’événement redouté « ...tout dysfonctionnement pou- et avoir une vision globale de son fonctionnement et de ses liens
vant engendrer des dommages sur une des missions d’un des pro- avec son environnement. Il va falloir alors analyser les cinq carac-
cessus de l’entreprise ou sur une de ses ressources ou sur son téristiques du système « Entreprise » :
environnement... » [23] et d’outils d’analyse communs tels que le – étude de son environnement. La modélisation de l’environne-
modèle du processus de danger et les modèles de l’entreprise per- ment de l’entreprise aboutit à un modèle externe de l’entreprise


Sphère
technique :
Environnement
technologique
Fluides et services
Biens et services
et innovation
Savoir-faire
Sphère Sphère
R è gl finis
politico- e
s u bv s , n o r m uits économique :
juridique : en t i o es Prod rvices
ns et se nt Marché
Pouvoirs
Arge économique
institutionnels Taxe es et financier
s, im ervic
pots s et s
... Entreprise Bien apitaux
C
M
es qu ain
ell a d
ur Ar lif 'œ
at e s, M ge iée uv
n i de et ain nt
r
s
ce nerg qu i ides s re
i l sa d'œ
ou é s l so ue vo u
ss et jet x, tiq ir vr
Re Re zeu ergé fa e
ire
a
g én
et
Sphère Sphère
environnementale : sociale :
Environnement Société civile
écologique
Flux d’énergie, d’argent, de matière et d’information

De l’entreprise vers l’environnement
De l’environnement vers l’entreprise
Figure 3 – Modèle externe de l’entreprise
composé de cinq sphères technique, économique,

politico-juridique, environnementale et sociale qui précisent les élé-
ments et les contraintes extérieures de l’entreprise (voir la figure 3) ; Sous-système
technique
– étude de sa structure. La modélisation de la structure interne Ressources
de l’entreprise a abouti à un modèle interne composé de cinq matérielle et
sous-systèmes technique, économique, organisationnel, environ- matières
nement de travail et social qui représentent l’ensemble des élé-
ments et des ressources internes (voir la figure 4) ;
– étude de ses finalités. Les objectifs poursuivis par l’entreprise
sont fixés en fonction des attentes et besoins de ses parties inté- Sous-système Sous-système
ressées (« ...une personne, une communauté ou une organisation organisationnel économique
qui influe sur les opérations de l’entreprise ou concernée par Méthodes, Ressources
celle-ci... » [6]). L’étude des finalités de l’entreprise passe donc par décisions et économiques
fonctionnement et financières
une identification des attentes et besoins de ses parties intéres-
sées. Pour cela, l’analyste peut remplir un tableau qui met en évi-
dence les principales attentes des parties intéressées en fonction
des aspects techniques, environnementaux, sociaux, organisation-

nels et économiques de l’entreprise. L’objectif de cette étude est Sous-système Sous-système
environnement social
de s’assurer que les missions principales et secondaires de chaque de travail
processus de l’entreprise (voir figure 5) permettent bien de Ressources
Milieu humaines
répondre à l’ensemble des attentes des parties intéressées (si ce environnant
n’est pas le cas, il faut refaire une partie de l’analyse fonctionnelle
des processus car des aspects ont été oubliés ou mal identifiés).
Voir le tableau 1 ; Interactions entre les différents sous-systèmes de l’entreprise :
flux d’énergie, d’argent, de matière et d’information
– étude de son activité. L’activité de l’entreprise est modélisée
notamment à travers sa cartographie des processus (voir figure 5)
(processus : un ensemble d’opérations ou d’activités réalisées par Figure 4 – Modèle interne de l’entreprise
des acteurs avec et à l’aide de moyens, selon les références en vue
d’une finalité). Elle sert de base à la représentation du fonction-
nement interne de l’entreprise. Il est souhaitable de compléter 2.2.2 Identification des événements redoutés
l’étude de chaque processus de l’entreprise par une analyse fonc-
tionnelle de type SADT (Structure Analysis Design Technique) (voir Une fois ces études préalables effectuées et après avoir récolté
figure 6 et tableau 2) ; un maximum d’informations, l’étape d’identification des événe-
– étude de son évolution. L’évolution de l’entreprise est appré- ments redoutés peut débuter.
hendée grâce à l’étude de son histoire et de son devenir. En analyse L’analyse des événements redoutés d’origine interne comme
de risques, il est important d’exploiter le retour d’expérience dispo- externe est effectuée selon le modèle du processus de danger sim-
nible en matière d’analyse des accidents et des incidents passés. plifié (voir figure 1). Cela consiste à rechercher la source de danger


Tableau 1 – Exemple d’attentes et besoins d’une partie intéressée : les patients

Parties Aspects Aspects Aspects Aspects Aspects
intéressées sociaux économiques environnementaux techniques organisationnels
externes internes internes internes internes internes
• Prestations de
santé sûres
• Qualité de service (maîtrise des mala- • Prise en compte
• Meilleur rapport
garantie • Activité générale dies nosocomiales des attentes
Sphère sociale qualité service/prix
• Protection qui respecte et des accidents et besoins
(Patients) • Service de santé
de la santé l’environnement opératoires) • Service de santé
remboursé
des patients • Équipements efficace et rapide
médicaux suffisants
et performants
familles de sources de danger, l’analyste va rechercher l’ensemble

des sources de danger présentes dans son environnement. Il va
Processus de pilotage
ensuite identifier l’ensemble des événements redoutés qui peuvent
Stratégie Qualité du management être issus de l’activation de ces sources de danger externes. L’ana-
lyste doit ensuite déterminer l’ensemble des causes qui peuvent
déclencher cet événement redouté, ainsi que l’ensemble des
conséquences potentielles sur les différentes cibles (voir
Processus de réalisation tableau 4). Il est alors possible de rencontrer trois types d’évé-
Attentes et
Satisfaction nements redoutés, ceux liés :
besoins du Prise en charge du patient
patient
– à des flux entrants insuffisants, voire inexistants, comme par
exemple, un manque de matières premières ou une rupture dans
Aide à la prise en charge
l’approvisionnement d’électricité,
– à des contraintes externes, comme par exemple : une régle-
mentation nouvelle ou une demande sociale particulière,
Processus support – à des flux de matière et d’énergie indésirables comme, par
Finances R.H. Qualité & GDR Système d'information exemple, une onde de choc ou des projectiles ou encore une
inondation ;
Hôtellerie, Infrastructure, – pour l’étude des événements redoutés internes : la cartogra-
Achats, Logistique Bâtiment, Maintenance phie des processus (voir figure 5) accompagnée de son analyse
fonctionnelle (voir tableau 2) sert de base à l’identification des évé-
nements redoutés d’origine interne. Pour chaque processus de
Figure 5 – Cartographie des processus d’un centre hospitalier l’entreprise, l’analyste va regarder qu’elles sont ses différentes
missions afin de déterminer l’ensemble des événements redoutés
relatifs au processus (l’événement redouté est ainsi la non réalisa-
tion de la mission principale et des missions secondaires du pro-
cessus). À l’aide du modèle interne de l’entreprise (voir figure 4) et
Données de de la liste des familles de sources de danger (voir tableau 3), il va
contrôles
ensuite déterminer l’ensemble des sources de danger qui, une fois
activées, peuvent engendrer les événements redoutés identifiés.
Données Activité ou Données
Les résultats de l’analyse fonctionnelle de chaque processus per-
mettent de déterminer facilement les sources de danger grâce aux
d'entrée processus de sortie

colonnes acteurs, données d’entrée, supports de l’activité, don-
nées de contrôle en y rajoutant l’environnement de travail. L’ana-
Supports de lyste doit ensuite déterminer l’ensemble des causes qui peuvent
l'activité déclencher cet événement redouté, ainsi que l’ensemble des
conséquences potentielles sur les différentes cibles (voir
Figure 6 – Modèle SADT sous forme d’actigramme
tableau 5).
2.2.3 Évaluation des événements redoutés

liée à l’événement redouté, les causes qui conduisent à son activa-
tion, et ensuite les conséquences possibles en fonction de La méthode proposée pour l’évaluation des événements redou-
différentes cibles. tés se base sur l’étude des liens et des enchaînements successifs
Il est souhaitable de classer les différentes sources de danger en entre les processus de danger. L’exploitation mathématique de ces
fonction des sphères et systèmes auxquels elles appartiennent. liens apporte aux décideurs une démarche innovante pour les
Cela permet par la suite de mettre en évidence la catégorie des aider à hiérarchiser leurs événements redoutés. L’exploitation des
sources de danger la plus impactante dans le système (ce classe- liens entre les processus de danger s’effectue sur les bases des
ment peut s’effectuer selon le tableau 3). travaux réalisés notamment par Godet dans le domaine de l’ana-
lyse structurelle [28]. D’après Godet, l’analyse structurelle est
Cette identification s’effectue donc de la manière suivante : « ...un outil d’articulation des idées qui offre la possibilité de
– pour l’étude des événements redoutés externes : à partir du décrire un système à l’aide d’une matrice mettant en relation tous
modèle externe de l’entreprise (voir figure 3) et de la liste des les éléments constitutifs de ce système... ».


Tableau 2 – Exemple d’une analyse fonctionnelle du processus « Stratégie »

Missions Missions Données Supports Données Données
Processus Acteurs
principales secondaires d’entrée de l’activité de contrôle de sortie
• Institutions :
• Étudier les attentes et
• Institutions
besoins du préconisations
nationales et • Services,
bassin externes
locales, agence assureurs,
• Développer et • Élaborer une • Tous les
régionale de banques, agence
assurer la stratégie services :
l’Hospitalisation : régionale de
pérennité de d’établissement attentes et
efficacité de la l’Hospitalisation,
l’établissement pertinente besoins • Analyse
• Direction mise en place du ministère
• Objectif : • Définir et internes • Financement
Stratégie Générale projet • Projet
répondre aux valider la • Usagers : • Analyse
• Instances d’établissement d’établissement
besoins de politique attentes et conjoncturelle
• Haute autorité (quinquennal)
soins des d’établissement besoins des
de santé : • Contrat
populations du pertinente usagers
certification d’Objectifs et de
bassin local • Suivre le • Haute autorité
qualité et Moyens
déploiement de de santé :
accréditation des pluriannuel
la politique rapport de la
médecins
d’établissement procédure de
certification
Tableau 3 – Liste des familles de sources de danger

Familles des sources de danger externes Familles des sources de danger internes
I. SPHÈRE ÉCONOMIQUE A. SOUS-SYSTÈME ÉCONOMIQUE
I.1. Sources de danger liées au marché et aux clients A.1. Sources de danger liées aux ressources financières
I.2. Sources de danger liées aux autres acteurs économiques A.2. Sources de danger liées aux choix financiers
I.3. Sources de danger liées aux risques financières primaires
II. SPHÈRE SOCIALE B. SOUS-SYSTÈME SOCIAL
II.1. Sources de danger liées à la société B.1. Sources de danger liées aux individus
II.2. Sources de danger liées à la population B.2. Sources de danger liées aux groupes d’individus
III. SPHÈRE POLITICO-JURIDIQUE C. SOUS-SYSTÈME ORGANISATIONNEL
III.1. Sources de danger liées au contexte national C.1. Sources de danger liées à la stratégie
III.2. Sources de danger liées au contexte local C.2. Sources de danger liées au management
III.3. Sources de danger liées au contexte législatif et normatif C.3. Sources de danger liées aux méthodes
III.4. Sources de danger liées au contexte professionnel C.4. Sources de danger liées aux instructions
IV. SPHÈRE TECHNIQUE D. SOUS-SYSTÈME TECHNIQUE
IV.1. Sources de danger liées au transport D.1. Sources de danger liées aux risques techniques
IV.2. Sources de danger liées aux autres activités industrielles et D.2. Sources de danger aux risques biologiques
commerciales D.3. Sources de danger liées aux risques de blessures
IV.3. Sources de danger liées aux infrastructures D.4. Sources de danger liées à l’informatique et aux données
IV.4. Sources de danger liées aux matières et matériels D.5. Sources de danger liées à la fiabilité et la disponibilité
V. SPHÈRE ENVIRONNEMENTALE E. SOUS-SYTÈME ENVIRONNEMENTAL
V.1. Sources de danger liées aux événements naturels E.1. Sources de danger liées aux conditions de travail
V.2. Sources de danger liées à la météorologie E.2. Sources de danger liées aux infrastructures
V.3. Sources de danger liées aux risques biologiques E.3. Sources de danger liées aux lieux de travail
V.4. Sources de danger liées au risque d’incendie et au rayonnement
■ L’intérêt de cette méthode est double. Elle permet de : ■ Appliquée à l’analyse de risques, cette technique permet d’aider
les décideurs, en fonction de leurs attentes, à soit :
– hiérarchiser des processus de danger en s’affranchissant de
– sélectionner les processus de danger « nœuds », à savoir ceux
l’étape d’estimation des événements redoutés car, sur des proces-
issus de nombreux processus de danger et qui induisent égale-
sus de danger effectués à un niveau macroscopique de l’entre-
ment un nombre important d’autres processus de danger ;
prise, il est parfois difficile de déterminer un niveau de probabilité
– sélectionner les processus de danger les plus « influents »
d’occurrence ;
dans le système et donc qui induisent le plus de processus de dan-
– comprendre l’enchaînement des processus de danger en ger « fils » ;
s’affranchissant de la construction des arbres des défaillances. Ces – comprendre l’enchaînement entre les processus de danger qui
derniers devenant compliqués et difficilement lisibles quand le conduisent à un processus de danger considéré comme
nombre de processus de danger est important. « important » à maîtriser pour l’entreprise.


Tableau 4 – Extrait de l’analyse de risques des événements redoutés externes

d’un centre hospitalier
Processus : SPHERE SOCIALE
Source de danger Causes Événement redouté Cible Conséquences
Société
Évolution du bassin local
Ressources disponibles
(âge, type Ressources techniques
Modifications inadaptées aux besoins
de personnes...)
des attentes
et des besoins Résultats de l’analyse
Modifications
Informations conjoncturelle
des modes de vie
précédente erronés
II.2 Population
Problèmes politiques Adaptation
(récession économique, Instances politiques de la politique
guerre...) d’immigration
Arrivée massive
Misère sociale de réfugiés politiques Services sociaux Surcroît d’activités
Attirance vers un pays Surcroît de personnes
Organisation
plus riche à prendre en charge
Tableau 5 – Extrait de l’analyse de risques des événements redoutés internes

d’un centre hospitalier
Processus : STRATÉGIE
Activité/Mission Source de danger Causes Événement redouté Cible Conséquences
Stratégie d’établissement
Ressources
A.1. Ressources
insuffisantes dans
financières
le service
Erreur : mise
en œuvre et/ou interpré-
B.1. DG et Instances
tation de l’analyse
conjoncturelle
Mauvaise Mise à disposition
Étudier les besoins Manque connaissance d’informations
B.1. Compétences de compétences Informations
du bassin des besoins réels erronées sur les
dans le service du bassin besoins du bassin
Absence de définition
C.2. Organisation
de fonction de service
Méthode d’analyse
C.3. Méthodes
conjoncturelle inadaptée
Résultats de l’analyse
C.4. Données
conjoncturelle erronés
C’est une matrice carrée comportant n lignes et n colonnes avec

Cette méthode exploite une des propriétés essentielles du n le nombre de processus de danger distincts. Cette matrice se
modèle du processus de danger qui est la modélisation des remplit colonne par colonne en regardant pour chaque processus
liens entre les processus de danger (voir figure 7). en tête de colonne s’il peut engendrer un ou plusieurs de ceux
Dans une logique de vision systémique, la méthode met en indiqués au début de chaque ligne du tableau. Quand c’est le cas,
évidence les interactions entre les différents éléments du sys- le lien est matérialisé par le chiffre 1 dans l’élément de la matrice
tème étudié, sans oublier ceux issus de son environnement. correspondant. Pour les autres processus, la présence du chiffre 0
La dynamique du système est ainsi en partie prise en compte indique l’absence de lien. Un lien s’établit entre deux processus de
à travers l’étude de l’enchaînement successif des processus de danger quand la conséquence d’un processus de danger « père »
danger. est la cause d’un processus de danger « fils ».
■ Les liens entre les processus de danger sont utilisés pour • L’utilisation d’un outil analytique mathématique qui est le
construire la matrice des liens directs, appelée également la calcul matriciel sert de base à cette méthode d’évaluation des évé-
« matrice des incidences ». nements redoutés. Un des objectifs de cette méthode d’évaluation


danger peut avoir plusieurs types de conséquences appartenant aux

cinq catégories ou sphères (voir figures 3 et 4) qui, elles, peuvent
Causes être une cause d’un autre processus de danger. Elles sont repérées
par un jeu de 1 à 5 étoiles différents :
Source – « * » indique une conséquence de nature économique ;
de danger Événement – « ** » indique une conséquence de nature organisationnelle ;
1 redouté 1
– « *** » indique une conséquence de nature sociale ;
– « **** » indique une conséquence de nature technique ;
Conséquence 1 – « ***** » indique une conséquence de nature environnemen-
= cause 2 tale.
Quand un lien existe entre deux processus de danger, il a donc
Source
de danger Événement été indiqué en fait dans chaque case le nombre et la nature des
2 redouté 2 conséquences. Par exemple : le processus de danger X (élabora-
tion d’une stratégie inadaptée) engendre le XIV (planning de pro-
Conséquences duction chargée) avec une conséquence économique et une autre
de nature organisationnelle. Il est donc écrit « 1*, 1** » dans la
case correspondante.
Figure 7 – Enchaînement entre deux processus de danger La matrice utilisée ensuite pour les calculs matriciels (les éléva-
tions au carré, au cube...) ne tient pas compte du nombre de
conséquences. Ainsi, si deux processus sont liés, la case corres-
des événements redoutés est de comprendre l’enchaînement pondante sera alors prise comme égale à « 1 » même si le nombre
successif des processus de danger. Pour estimer la portée des pro- de liens entre ces deux processus (via les conséquences) est en
cessus « pères » sur les processus « fils » et descendants des fait supérieur à « 1 » (dans l’exemple présenté « 1*, 1** »).
générations qui suivent, il est important d’évaluer les liens indi- Par ailleurs, le fait qu’un « 2** » apparaisse dans la case située à
rects entre processus. Des itérations successives permettent de l’interaction des processus de danger X (élaboration d’une stratégie
déterminer les liens indirects de second ordre, troisième ordre... en inadaptée) et XX (mauvaise gestion des fournisseurs) signifie qu’il
élevant respectivement les matrices au carré, au cube... est possible de recenser deux sortes de conséquences de nature
organisationnelle. De même, cette case sera considérée comme
• La matrice des liens permet de mesurer la descendance et de égale à « 1 » même si le nombre de liens entre ces deux processus
déterminer les processus de danger fortement influents et ceux (via les conséquences) est lui aussi supérieur en fait à « 1 ».
des nœuds dans le système. Les actions de maîtrise à mettre en
L’exploitation de la nouvelle méthode d’évaluation des événe-
œuvre seront alors effectuées en priorité au niveau des processus
ments redoutés, dans ce cas de l’étude de l’accident de Challenger,
de danger les plus influents (ceux qui sont à l’origine du plus
passe par la mise en œuvre de l’ensemble des processus de dan-
grand nombre de « chemins »). En fonction des moyens disponi-
ger qui ont conduit à l’accident. C’est pour cela que l’exploitation
bles et des choix stratégiques effectués par l’entreprise, les actions
des tableaux se focalise essentiellement sur la ligne correspondant
de maîtrise peuvent, dans un second temps, prioriser les proces-
au processus de danger XVI qui correspond à l’événement redouté
sus de danger nœuds, ces derniers étant à la jonction de plusieurs
« explosion de la navette » ; pour une lecture plus facile cette ligne
chemins amont et aval.
est sur fond cyan.
Il est donc possible d’agir, soit au niveau des causes ■ À partir de calculs sur les éléments de la matrice des liens
profondes pouvant conduire à l’accident (processus de danger directs, deux informations complémentaires peuvent être extrai-
les plus influents), soit au niveau des endroits clés du système tes. Elles sont décrites dans la ligne indiquée par Nbr. Lien et dans
(processus de danger nœuds). la colonne par Niv. Dep dans le tableau 7 :
– Niv. Dép. indique le niveau de dépendance. Il correspond pour
chaque processus de danger au nombre de processus de danger
dont ils sont les « fils » directs. Par exemple, le PdDxv est issu de
3. Illustration de la méthode : huit autres processus de danger donc Niv. Dep.PdDXV = 8. C’est le
processus de danger le plus « dépendant » dans le système ;

le cas de Challenger – Nbr lien indique le niveau d’influence des processus de dan-
ger. Ils sont relatifs au nombre de processus de danger qu’ils sont
Cette partie présente le test effectué sur le modèle de calcul chacun susceptibles de déclencher directement et, donc, dont ils
matriciel pour la mise en œuvre de l’étape d’évaluation des évé- sont les « pères ». Par exemple, PdDx engendre neuf autres pro-
nements redoutés. Il a été réalisé à partir du retour d’expérience cessus de danger, donc Nbr lienPdDX = 9. C’est le processus de
sur l’accident de Challenger (explosion d’une navette spatiale amé- danger le plus « influent » dans le système.
ricaine, le 28 janvier 1986, ayant fait 7 morts). L’analyse de l’acci-
dent a permis d’établir les différents processus de danger qui ont La lecture directe de la matrice met en évidence que le
conduit à l’accident. Le système pris en considération est celui de domaine organisationnel avec vingt-quatre liens sur un total
la Nasa. Les processus de danger ont été élaborés de manière à de soixante trois est le domaine le plus représenté. Ce dernier,
être en adéquation avec l’approche globale de l’analyse de risques en tant que cause potentielle dans le déclenchement d’événe-
présentée précédemment. ments redoutés, est à considérer de manière prioritaire.
Au final, nous avons obtenu 23 processus de danger (voir
tableau 6). ■ En combinant les résultats obtenus pour le niveau de dépendance
et le nombre de liens des processus de danger, il est possible de
■ La matrice d’incidences entre les différents processus de danger déterminer les processus de danger « nœuds » du système
obtenus pour l’accident de Challenger est illustré dans le tableau 7. (c’est-à-dire ceux qui ont un niveau de dépendance et un nombre de
Ce tableau a été rempli colonne par colonne en regardant, pour cha- liens élevés). Par exemple, le PdDx avec un niveau de dépendance
que processus en tête de colonne, s’il peut engendrer un ou plu- égal à 6 et un nombre de lien égal à 9 est le processus de danger
sieurs de ceux indiqués au début de chaque ligne. Un processus de « nœud » dans le système, pour la matrice des incidences.


Tableau 6 – Processus de danger relatifs à l’explosion de la navette Challenger

No Sphères Sources Événements
Causes Cibles Conséquences
PdD ou processus de danger redoutés
Abus de monopole
Organisation Retards de livraison
Difficultés financières
Erreur humaine
Sph. Non respect des
I Fournisseurs Méconnaissance
Économique contrats
des problèmes
Fabrication de matériel
de la Nasa Matériel
non-conforme
Pression de respect
des coûts et délais
(non priorité à la qualité)
Insatisfaction par rapport

aux missions précédentes
Opinion Intérêt Stratégie Impératifs
II Sph. Sociale
publique exacerbé de la Nasa de lancement rapide
Image symbolique
de la mission Challenger
Insatisfaction par rapport aux

missions précédentes
Médias Stratégie Impératifs
III Sph. Sociale Intérêt exacerbé
et presse de la Nasa de lancement rapide
Image symbolique
de la mission Challenger
Concurrence exacerbée Objectifs trop ambitieux

avec l’URSS Politique et irréalisables
Décisions Stratégie de la
IV spatiale trop ambi-
politiques Nasa
Volonté de domination tieuse
Impératifs de réussite
mondiale
Sph. Politique
Manque d’experts externes Manque d’objectivité
Dépendance des
Instances
V instances de Contrôles
de contrôles Experts vérificateurs issus
contrôles Absence de sanctions
de la Nasa
Fabrication de matériel
non-conforme
Livraison
Sph. Utilisation de matériel
VI Matériel Absence de contrôles de matériel Matériel
Technique non fiable
non-conforme
Impératif de délais : nécessité

de prendre les produits
Retards dans l’activité

Températures négatives Activité
de lancement
Sph.
VII Température Froid extrême
Environnementale
Détérioration
Hiver rigoureux Matériel
du matériel (gel)
Proximité des côtes : Retards dans l’activité

Activité
situation géographique Contact air de lancement
Sph.
VIII Air marin marin/matériel : cor-
Environnementale
rosion Détérioration
Brouillard Matériel
du matériel (corrosion)
Proximité des côtes : Retards dans l’activité de

Activité
situation géographique lancement
Sph. Humidité
IX Humidité
Environnementale élevée
Détérioration
Brouillard Matériel
du matériel (gel)


Tableau 6 – Processus de danger relatifs à l’explosion de la navette Challenger (suite)

Ressources Ressources financières Diminution des coûts par
financières disponibles limitées une baisse
des effectifs,
Budget
des ressources
Budget Budget déficitaire techniques,
des contrôles
Prise de décisions
hasardeuse et précipitée Insatisfaction par rapport
Méconnaissance aux impératifs trop lourds à
Personnel
des problèmes gérer
DG
des fournisseurs
et Instances
et sur le terrain
Impératifs de production
Manque de recul Élaboration d’une
X Direction générale et de respect des délais
dans la prise de décisions stratégie inadaptée Choix très élevés
stratégiques
Processus de validation Manque d’objectifs de
amputé sécurité et de qualité
Processus de
décision Non prise en compte
d’informations sur les facteurs Objectifs Objectifs trop élevés
d’échec et sur les problèmes
Objectifs trop ambitieux
et irréalisables
Stratégie de la
Nasa Impératifs de réussite
Impératifs de lancement rapide
Résultats du diagnostic
Informations
stratégique erronés
Refus de communiquer
Méconnaissance
DG et de transparence DG
des problèmes
et instances dans la diffusion et instances
sur le terrain
de l’information
Absence de définition Erreur par manque
Organisation Personnel
de fonction de service d’information
Difficultés
Diffusion des ou non transmission Accentuation
Communication Climat social
XI informations des informations des tensions sociales
interne défaillante
en interne
Méthodes
de communication
inadaptées
Méthodes Méthodes de récolte

et collecte
de l’information
Communication inadaptées
Refus du communiquer
Méconnaissance
et de transparence DG
des problèmes
dans la diffusion et instances
DG des fournisseurs
de l’information
et instances
Erreur dans le traitement et
Méconnaissance
l’interprétation Fournisseurs
des problèmes de la Nasa
des informations Communication
XII Difficultés externe Absence
Diffusion des
ou non transmission des infor- défaillante Dialogue de transparence
informations
mations en externe et de dialogue
Méthodes de communication
inadaptées
Méthodes Méthodes de récolte
et collecte de l’information ina-
daptées



Diminution des coûts Pertes économiques :
Budget par baisse Budget augmentation
des ressources techniques des coûts de R & D
Recherche Personnel Erreurs Activité Retards dans la R & D

XIII Retards
& Développement Utilisation d’innovations
Défaillances techniques Matériel
peu fiables
Innovations
Utilisation de matériel
non-conforme
Diminution des coûts
Erreur par surcharge de
Budget par une baisse des ressources Personnel
travail
techniques
Travail à effectuer
Organisation Planning Activité Activité trop chargée
sur des sites éloignés
XIV de production
Retards dans l’activité chargé
Activité
générale
Impératifs de production
Choix
et de respect des délais très
stratégiques
élevés
Erreur par surcharge Élaboration d’une navette
de travail : fatigue défaillante
Erreur par manque Produit : navette
Détérioration
Personnel de vigilance (sentiment
de la navette
de sécurité exacerbée)
Erreur par manque
d’information
Activité Activité trop chargée
Processus de Négligence des facteurs
décision d’échec Tâche
XV
Utilisation d’innovations mal effectuée
peu fiables
Production
Utilisation de matériel
Matériel
non fiable
Matériel indisponible
ou difficilement disponible
Manque de place,
Locaux suroccupation des locaux

de travail Trop grand éloignement
des sites de production
Autorisa-
Autorisation d’envol
tions/habilita- Astronautes Morts
d’une navette non fiable
tions
Manque de moyens techni-
Explosion Stratégie de la Révision nécessaire
Matériel ques (système de chauffe du
de la navette Nasa de sa stratégie
pad de tir, moyens de secours)
Matériel Détérioration du matériel (gel) Ambitions dans
XVI Décisions
Détérioration du matériel le programme spatial
Matériel politiques
(corrosion) revues à la baisse
Élaboration d’une navette

défaillante
Produit : Destruction
Produit (navette)
navette Détérioration de la navette de la navette
Pression liée au décollage



Stagnation des budgets Ressources Ressources financières
Financement
alloués financières disponibles limitées
Pertes économiques :
Budget augmentation des coûts Budget Budget déficitaire
de R & D
Difficultés de retour Difficultés
XVII Finance Rentabilité
sur investissement de financement
Objectifs Objectifs trop élevés

Retards dans l’activité R & D
Activité Retards dans l’activité
de lancement
Utilisation de matériel non
Budget par une baisse Matériel
fiable
des contrôles
Construction
Personnel Erreurs Produit
d’un produit non fiable
Choix stratégiques :
Choix
diminution
stratégiques
des contrôles
Contrôles
XVIII Manque de compétences au
Compétences défaillants
sein du service
Rôles et fonctions non
Organisation
ou mal définies
Manque d’objectivité
Contrôles
Absence de sanctions
Méthodes de contrôles
Méthodes
inadaptées
Prise de décisions hasardeuse Autorisations/ Autorisation d’envol
et précipitée habilitations d’une navette non fiable
Contrôles
et vérifications Manque de recul dans
la prise de décisions
DG Méconnaissance
et Instances des problèmes
des fournisseurs
et sur le terrain
Erreur par manque
d’information
Autorisation
Stratégie
XIX Impératifs de lancement rapide d’envol
de la NASA
prématurée
Choix Impératifs de production et de
stratégiques respect des délais très élevés
Processus de validation
amputé
Processus Non prise en compte
de décision d’informations
sur les facteurs d’échec
et sur les problèmes
Absence de transparence
Dialogue
et de dialogue



Budget Diminution des coûts Abus de monopole
Organisation Retards de livraison Pression de respect
Fournisseurs des coûts et délais
Absence de diversité dans (non priorité
le choix des fournisseurs à la qualité)
Choix Impératifs de production

stratégiques et de respect des délais
très élevés Mauvaise
Achats et
XX gestion
approvisionnement Manque d’objectifs des fournisseurs
de sécurité et qualité
Absence de transparence
Dialogue
et de dialogue
Contrat inadapté
sans impératif de qualité avec
Contrat
des primes
aux délais
Manque de moyens
techniques (système
Budget par une baisse Matériel
de chauffe, moyens
des ressources techniques
de secours)
Matériel indisponible
Manque de suivi Matériel (matière
ou difficilement
des stocks première)
Organisation Mauvaise disponible
XXI gestion
Absence d’anticipation Erreur par surcharge
des stocks
des besoins de travail : fatigue
Personnel
Mécontentement,
insatisfaction
Méthodes de gestion
Méthodes Retards dans l’activité
des stocks inadaptées
Activité car des tâches
non effectuées
Logistique Diminution des coûts
par une baisse Erreur par surcharge de
Budget
des ressources travail : fatigue
techniques Personnel
Absence d’anticipation Mécontentement,

Organisation
des besoins insatisfaction
Retards dans Mauvaise

Travail à effectuer
XXII Activité la construction gestion Organisation
sur des sites éloignés
des bâtiments des infrastructures
Manque de place,
suroccupation
Locaux des locaux
de travail Trop grand
éloignement des sites
de production
Erreur par surcharge
de travail : fatigue
Personnel
Mécontentement,
Ressources Diminution des coûts par Personnel
XXIII Budget insatisfaction
humaines une baisse des effectifs insuffisant
Retards dans l’activité
Activité car des tâches
non effectuées


Tableau 7 – Matrice des liens directs entre les processus de danger relatifs à l’explosion
de Challenger
XVIII
XXIII
Niv.
XVII
XXII
VIII
XIII
XIV
XVI
XIX
XXI
VII
XII
XV
XX
III
IV
VI
IX
XI
II
X
⇓ I Dep.
I 0 0 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 1* 0 0 0 2
II 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
III 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
V 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VI 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1
VII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
2*
VIII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1
*
IX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
1* 1* 2* 1* 1* 1*
X 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 6
* * * ** ** 1*
XI 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
1*
XIII 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 2
**
1*, 1* 1* 1*
XIV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4
1** * * *
1*
2*
**
1* 1* ** 1*
1* 1* *, 1*
XV 0 0 0 0 0 ** 0 0 0 0
**
0 **
**
0 0 0
1*
0 0 *, **, 8
**
* * 1* 1
**
**
*
1*
**
1* 1* 1*
*, 1*
XVI 0 0 0 0 0 0 ** ** ** 0 0 0 0 0 0 0 0 0 0 0 0 5
1* *
* * *
**
*
1*,
1* 1* 1* 1* 1* 1*
XVII 0 0 0 0 0 0
* * *
1** 0 0 1* 0 0 0 0 0 0 0
* ** *
8
*
1* 1* 1*
XVIII 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 4
** ** **
1*
1* **,
XIX 0 0 0 0 0 0 0 0 0 1** 0 0 0 0 0 0 0 0 0 0 0 3
** 1*
*
1* 1*, 1*
XX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3
* 2** *
XXI 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 0 1
XXII 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 0 1
XXIII 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 0 1
Nbr
liens
2 1 1 1 1 1 2 2 2 9 4 4 2 2 1 0 1 1 1 1 4 3 4 50


Tableau 8 – Matrice des liens indirects de 2e ordre (explosion de la navette Challenger)
XVIII
XXIII
⇒
XVII
XXII
Niv.
VIII
XIII
XIV
XVI
XIX
XXI
VII
XII
XV
XX
III
IV
VI
IX
XI
II
X
I
⇓ Dep.
I 1 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 3
II 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
III 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
V 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VI 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0 0 2
VII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VIII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
X 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XI 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XIII 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XIV 0 1 1 1 0 0 0 0 0 3 1 1 0 0 0 0 1 0 0 0 0 0 0 9
XV 1 0 0 0 0 0 0 0 0 6 1 0 0 1 0 0 0 0 0 0 2 1 2 14
XVI 0 0 0 0 1 1 0 0 0 1 2 1 1 1 0 0 0 1 0 0 1 1 1 12
XVII 0 1 1 1 1 0 0 0 0 4 2 1 0 0 0 0 1 0 0 0 0 0 0 12
XVIII 0 1 1 1 0 0 0 0 0 3 1 1 0 0 0 0 1 0 0 0 1 1 1 12
XIX 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XX 0 1 1 1 0 0 0 0 0 0 1 2 0 0 0 0 1 0 0 1 0 0 0 8
XXI 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XXII 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XXIII 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
Nbr
liens
2 9 9 9 2 1 1 1 1 19 13 13 2 2 0 0 9 1 0 2 5 4 5 110
■ Un des objectifs de cette méthode d’évaluation des événements

sion issue de l’humidité), XV (tâche mal effectuée), XIX (autorisa-

redoutés est de comprendre l’enchaînement successif des proces- tion d’envol prématurée) ;
sus de danger. Pour estimer la portée des processus « pères » sur – la matrice des liens indirects de second ordre (voir tableau 8)
les processus « fils » et descendants des générations qui suivent, il montre qu’indirectement l’explosion de la navette est issue des évé-
est important d’évaluer les liens indirects entre processus. nements redoutés V (dépendance des instances de contrôle), VI
(livraison de matériel non-conforme), X (élaboration d’une stratégie
Des itérations successives permettent de déterminer les liens inadaptée), XI (communication interne défaillante), XII (communi-
indirects de second ordre, troisième ordre, etc. Les matrices des cation externe défaillante), XIII (retards en recherche et développe-
liens indirects sont estimées à partir de calcul matriciel. Il consiste ment), XIV (planning de production chargé), XVIII (contrôles
à élever, à des puissances successives (de rang n = 2, 3,...) la défaillants), XXI (mauvaise gestion des stocks), XXII (mauvaise ges-
matrice des incidences A selon le calcul suivant : A n = An. La tion des infrastructures) et XXIII (personnel insuffisant) ;
matrice des liens indirects d’ordre 2 est donnée dans le tableau 8 – la matrice des liens indirects de troisième ordre (voir
et la matrice des liens indirects d’ordre 3 est donnée dans le tableau 9) montre qu’indirectement l’explosion de la navette est
tableau 9. issue des événements redoutés I (non respect des contrats), II
(intérêt exacerbé de l’opinion publique), III (intérêt exacerbé des
■ Les différentes matrices permettent effectivement de mettre en médias et de la presse), IV (politique spatiale trop ambitieuse),
évidence les processus de danger qui ont conduit, d’après les XVII (difficultés de financement), ceux déjà mentionnés précédem-
données des enquêtes officielles, à l’explosion de la navette (XVI) : ment X, XI, XII, XIV, XXI, XXII et XXIII.
– la matrice des incidences (voir tableau 7) montre que l’explo- Cette analyse permet d’identifier où il est possible d’agir pour
sion de la navette est directement issue des événements redoutés éviter que l’événement redouté XVI ne survienne. En fonction des
VII (froid extrême), VIII (corrosion issue de l’air marin), IX (corro- moyens disponibles, les barrières de sécurité vont se situer, soit


Tableau 9 – Matrice des liens indirects de 3e ordre (explosion de la navette Challenger)
XVIII
XXIII
XVII
XXII
Niv.
VIII
XIII
XIV
XVI
XIX
XXI
VII
XII
XV
XX
III
IV
VI
IX
XI
II
X
I
⇓ Dep.
I 0 1 1 1 0 0 0 0 0 0 1 2 0 0 0 0 1 0 0 1 0 0 0 8
II 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
III 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
V 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VI 1 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 3
VII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VIII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
X 0 1 1 1 1 0 0 0 0 4 2 1 0 0 0 0 1 0 0 0 0 0 0 12
XI 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XIII 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XIV 0 3 3 3 0 0 1 1 1 1 3 3 1 0 0 0 3 0 0 0 1 1 1 26
XV 0 6 6 6 0 0 0 0 0 6 6 7 0 0 0 0 6 0 0 1 1 1 1 47
XVI 1 1 1 1 0 0 0 0 0 6 2 1 0 1 0 0 1 0 0 0 2 1 2 20
XVII 0 4 4 4 0 0 1 1 1 1 4 4 1 0 0 0 4 0 0 0 1 1 1 32
XVIII 0 3 3 3 0 0 1 1 1 4 3 3 1 0 0 0 3 0 0 0 1 1 1 29
XIX 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XX 1 0 0 0 0 0 1 1 1 2 0 1 1 0 0 0 0 0 0 0 1 1 1 11
XXI 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XXII 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XXIII 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
Nbr
3 19 19 19 1 0 9 9 9 30 21 23 9 1 0 0 19 0 0 2 12 11 12 228
liens
sur le premier niveau de liens, soit le deuxième, soit le troisième, Elles ont des champs d’application limités qui ne permettent pas
soit le quatrième. Plus le niveau de liens est élevé, plus les actions des visions globales des systèmes. Or, les entreprises sont des
sont menées sur des causes profondes. systèmes complexes nécessitant des analyses avec des visions
systémiques.
■ L’application complète de la méthode d’évaluation des événe-
ments redoutés, dans le cas de l’explosion de la navette Face à ce constat, et pour répondre à la demande de mise en
Challenger, nous a permis de conclure que cette approche par le œuvre d’analyse de risques a priori, de manière globale et trans-
calcul matriciel permet bien de mettre en évidence l’ensemble des versale, la méthode présentée précédemment a été développée.
processus de danger qui peuvent conduire à un événement Cette méthode est inspirée des Cindyniques [26] et de la méthode
redouté précis (dans notre cas, l’explosion de la navette). Ceci organisée systémique d’analyse des risques (Mosar) [31] utilisées
n’est vrai que dans la mesure où les processus de danger ont été dans le domaine de la sécurité industrielle. Elle intègre à l’analyse
identifiés correctement et de manière préalablement exhaustive. des sources de danger techniques celles issues de l’organisation
Elle permet également de bien identifier les processus de danger, de l’entreprise, de ses ressources sociales et économiques, mais
les plus influents dans le système, ce qui équivaut à déterminer les également de son environnement, aussi bien naturel, que poli-
points de vulnérabilités les plus importants. tico-juridique, social, économique et technique, afin de tenir
compte de l’ensemble des événements redoutés.
Pour une approche globale et transversale dans l’analyse de
risques, la méthode proposée repose sur les trois étapes suivantes :
4. Conclusion – l’analyse du système. À partir des cinq caractéristiques d’un
système par l’étude : de son environnement modélisé par cinq
Les méthodes d’analyse de risques proposées à l’heure actuelle sphères, de sa structure modélisée par cinq sous-systèmes, de ses
s’appuient sur des visions cartésiennes et partielles des systèmes, finalités déterminées par les attentes et besoins des parties inté-
par exemple les méthodes issues de la sûreté de fonctionnement ressées, de son activité modélisée par sa cartographie des proces-
telles que les arbres de défaillance et sont basées essentiellement sus et de son évolution par la recherche des dysfonctionnements
sur une étude des dysfonctionnements techniques du système. passés ;


– l’identification des événements redoutés. Recensement des L’outil de base de la systémique, qui est le modèle, est notam-
sources de danger potentielles à partir de listes indicatives, déter- ment utilisé à travers le modèle du processus de danger. Les liens
mination et analyse des événements redoutés associés à partir du entre les différents processus de danger montrent que les éléments
modèle du processus de danger simplifié (inspiré de Mosar) ; du système sont liés les uns aux autres : si un des paramètres se
– l’estimation – évaluation des événements redoutés. Exploita- modifie, tout le système peut être amené à changer. Malgré cette
tion des liens entre les différents processus de danger identifiés prise en compte de la dynamique au niveau de l’étape d’évaluation
(pouvant conduire à la réalisation d’un accident) à travers d’un des événements redoutés, la méthode ne permet pas de connaître
modèle mathématique reposant sur le calcul matriciel, afin de précisément comment le système va évoluer dans le temps. Le
déterminer les différents scénarii et les événements redoutés les dynamique des systèmes, une des caractéristiques essentielles des
plus influents du système. systèmes complexes [32] n’est que partiellement prise en compte.
Des travaux restent donc à entreprendre pour tenir compte de cet
La méthode proposée est une application concrète de la vision
aspect. L’activation successive des sources de danger et la maîtrise
systémique à l’analyse de risques dont le but est de tenter de
des conditions initiales par l’intégration de vecteurs d’état peuvent
comprendre comment un système socio-technique réagit en fonc-
être une des pistes de réflexions futures.
tion de ses éléments et par rapport à son environnement. Pour cela,
un des objectifs de cette méthode est de permettre un décloison-
Cette méthode tente donc d’appréhender la complexité des
nement des fonctions de l’entreprise en proposant à l’ensemble des
entreprises. Mais est-il possible de maîtriser la complexité des
acteurs un langage et des outils communs pour l’analyse des évé-
systèmes ? La notion de complexité ne sous-entend-elle pas la
nements redoutés. Les décideurs peuvent alors prendre des déci-
notion de comportement imprévisible ? Nous avons donc une
sions en toute connaissance de cause par rapport aux faiblesses et
méthode avec des outils qui tentent de se rapprocher de la réalité
contraintes rencontrées par leur entreprise.
sans jamais l’atteindre d’où la difficulté de prévoir l’avenir.
La méthode utilise tout de même une approche sectorisée et
plus cartésienne lors de la mise en œuvre de l’analyse du système.
L’analyse de risques a priori n’est donc pas forcément un
Cela se traduit par l’étude des sphères et des processus de l’entre-
prise les uns après les autres et par une identification des sources outil performant pour prévoir les accidents qui vont se pro-
duire. Par contre, c’est un outil particulièrement bien adapté et
de danger famille par famille. Le but est de tendre vers l’exhausti-
vité et l’objectivité de l’analyse, ce que les approches systémiques intéressant pour identifier les sources de danger les plus
influentes dans le système, celles où la mise en place de bar-
ne prétendent pas atteindre. Nous avons donc adapté nos façons
rières de sécurité auront le plus d’importance pour maintenir
cartésiennes de travailler à une approche globale tournée vers une
vision systémique du système étudié. la sécurité du système.


P
O
U
Étude systémique de l’analyse R
de risques
E
Présentation d’une approche globale N
par Audrey DASSENS

Docteur de l’université de Haute Alsace
S
et
Laboratoire de Gestion des risques et environnement, Mulhouse
Richard LAUNAY
A
V
O
Bibliographie I
R
Références du dossier gestion des risques pour les grandes entre- [24] LE MOIGNE (J.L.). – La Théorie du système
prises. général – Théorie de la modélisation. PUF,
[1] DELAVEAUD (M.C.). – Le « Risk manage- 320 p., juin 1977.
ment » en 5 étapes. Collection À Savoir [14] Federation of European Risk Management
[2]
AFNOR, 49 p., 3e trimestre (2003).
DE ROSNAY (J.). – Le macroscope – Vers une
Associations. – Cadre de référence de la ges-
tion des risques (2005).
[25] WATZALWICK (P.) et WEAKLAND (J.H.). –
Sur l’intervention – Palo Alto 1965-1974 : Une
nouvelle approche thérapeutique. Le Seuil,
P
vision globale. Éditions du Seuil, 346 p., fév.
1975.
[15] Agence Espagnole de Normalisation. – UNE
81900 : 1996 : Prévention des risques au tra-
vail – Règles générales pour la mise en œu-
[26]
560 p., déc. 2003.
LESBATS (M.), DOS SANTOS (J.) et PERIL- L
[3] CONSO (P.) et HEMICI (F.). – L’entreprise en HON (P.). – Contribution à l’élaboration d’une
20 leçons – Stratégie, gestion, fonctionne-
ment. Dunod, 3e édition, 459 p., sept. 2003.
vre d’un système de gestion des risques pro-
fessionnels (1996).
science du danger. École d’été « Gestion
scientifique du risque » (1999). U
[16] British Standard. – BS 8800 : 1996 : Guideli- [27] KERVERN (G.Y.). – Éléments fondamentaux
[4] DONNADIEU (G.). – Manager avec le social –
L’approche systémique appliquée à l’entre-
prise. Éditions Liaisons, 423 p., sept. 1997.
nes for implement the occupational health
and safety management (1996).
des Cindyniques. Économica, 111 p., janv.
1995.
S
[5] MORIN (E.). – Comprendre la complexité – In- [17] Organisation Internationale du Travail (OIT). [28] GODET (M.). – Manuel de prospective straté-
troduction à la méthode d’Edgar Morin. – ILO-OSH 2001 : Principes directeurs gique T2 – L’art et la méthode. Dunod, 376 p.
L’Harmattan, 206 p., août 2002. concernant les systèmes de gestion de la sé- (1997).
curité et de la santé au travail (2002).
[6] Association pour les Pratiques du Dévelop-
pement Durable.. – Le développement dura- [18] Australian and New Zealand Standard. – HB
Dans les Techniques de l’Ingénieur
ble dans mon entreprise – Fiches de sensibi- 231 : 2000 : Information security risk mana-
lisation destinées aux PME. gement guidelines (2000).
[29] VAUTIER (J.F.). – Systèmes complexes – Pré-
[7] DONNADIEU (G.), DURAND (D.), NEED (D.), [19] VILLEMEUR (A.). – Sûreté de fonctionnement sentation générale. [AG 1 500] (2001).
NUEZ (E.) et SAINT PAUL (L.). – L’approche des systèmes industriels. Collection de la Di-
systémique : de quoi s’agit-il ? Synthèse des [30] QUENIART (D.). – Analyse de sûreté : princi-
rection des Études et Recherches d’Électricité
travaux du groupe AFSCET, sept. 2003. pes et pratiques. [B 3 810] (1996).
7 - 2008
de France, Eyrolles, 795 p., juil. 1988.

[8] VON BERTALANFFY (L.). – General System [31] PERILHON (P.). – Méthode d’analyse de ris-
[20] Institut National de l’Environnement Indus- que MOSAR – Présentation générale.
Theory. New York (1968). triel et des Risques. – Outils d’analyse des ris- [SE 4 060] (2003).
[9] DURAND (D.). – La systémique. Que sais-je ? ques générés par une installation indus-
trielle. Direction des Risques Accidentels, [32] KARSKY (M.). – Dynamique des systèmes
PUF, 126 p., fév. 1994.
mai 2003. complexes – Concepts et méthodologie.
[10] DONNADIEU (G.) et KARSKY (M.). – La sys- [AG 1 565] (2004).
Doc. AG 1 585
témique, penser et agir dans la complexité. [21] DESROCHES (A.), LEROY (A.) et VALLEE (F.). [33] MORTUREUX (Y.). – Arbres de défaillance,
Éditions Liaisons, 269 p., sept. 2004. – La gestion des risques – principes et prati- des causes et d’évènement. [SE 4 050]
[11] International Standard Organisation. – ques. Germes Lavoisier, 286 p., fév. 2003. (2002).
Guide ISO/CEI 73 : Management du risque – [22] TIXIER (J.), DUSSERRE (G.), SALVI (O.) et
Vocabulaire – Principes directeurs pour l’uti- GASTON (D.). – Review of 62 risk analysis
lisation dans les normes (2002). methodologies of industrial plants. Journal En complément de lecture
[12] Occupational Health and Safety Assessment of Loss Prevention in the Process industries,
Series. – Norme OHSAS 18001 – Système de vol. 15, Issue 2, p. 291-303, mars 2002. HANSEN-GLIZE (). – Maîtrise des crises. [SE 1 060]
gestion de la santé et de la sécurité au travail. (2008).
[23] DASSENS (A.). – Méthode pour une appro-
OHSAS (1999).
che globale de l’analyse de risques en entre- ANDEOL () et MORVAN (). – Prévention des risques
[13] Association pour le Management des Ris- prise. Rapport de thèse Université de Haute professionnels – Concepts fondamentaux.
ques et des Assurances de l’Entreprise. – La Alsace, 280 p., fév. 2007. [SE 3 824] (2008).

est strictement interdite. – © Editions T.I. Doc. AG 1 585 – 1

P ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________
O
U Organismes
(Liste non exhaustive)
R
• AENOR, agence espagnole de normalisation • FERMA, fédération des associations européennes de gestion du risque
http://www.aenor.es http://www.ferma-asso.org/
• AFSCET, association française de Science des systèmes • INERIS, institut national de l’environnement industriel et des risques
http://www.afscet.asso.fr/
E • AGORA 21, portail d’informations sur le développement durable
http://www.agora21.org/
http://www.ineris.fr/
• ISO, International Standard Organisation
http://www.iso.org/
N • AMRAE, association pour le management des risques et des assurances de
l’entreprise
http://www.amrae.fr/
• OHSAS, Occupational Health and Safety Assessment Series
http://www.ohsas.org/
• ARIA, base de données du bureau d’analyse des risques et pollutions
industrielles • OIT, organisation internationale du travail
http://aria.ecologie.gouv.fr/ http//www.ilo.org/
S • British Standard, normes britanniques

http://www.bsi-global.com/
• SAI Global, normes austreliennes et néozélandaises
http://www.saiglobal.com/
A
V
O
I
R
P
L
U
S

Doc. AG 1 585 – 2 est strictement interdite. – © Editions T.I.

Ag1585 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ag1585 PDF

Transféré par

Droits d'auteur :

Formats disponibles

DOSSIER

Ce dossier fait partie de la base documentaire

Document délivré le 01/02/2013

Pour toute question :

par mail : infos.clients@teching.com ou au téléphone : 00 33 (0)1 53 35 20 20

Étude systémique de l’analyse

1. Nécessité d’une nouvelle méthode ..................................................... AG 1 585 - 2

es grands accidents industriels tels que Seveso, Bhopal, Challenger,

d’expérience pour fixer de nouvelles politiques de prévention et/ou de protec-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________

1. Nécessité d’une nouvelle 1.1 Complexité des entreprises

méthode 1.1.1 Notion d’« entreprise »

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

__________________________________________________________________________________________ ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________

l’entreprise tels qu’une réglementation plus contraignante, un cli-

– économique (capital financier...) ; même parfois les frontières nationales.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

__________________________________________________________________________________________ ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES

• La plupart des méthodes et outils d’analyse de risques repo-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

__________________________________________________________________________________________ ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES

Flux d’énergie, d’argent, de matière et d’information

Figure 3 – Modèle externe de l’entreprise

composé de cinq sphères technique, économique,

des aspects techniques, environnementaux, sociaux, organisation-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________

Tableau 1 – Exemple d’attentes et besoins d’une partie intéressée : les patients

familles de sources de danger, l’analyste va rechercher l’ensemble

d'entrée processus de sortie

2.2.3 Évaluation des événements redoutés

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

__________________________________________________________________________________________ ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES

Tableau 2 – Exemple d’une analyse fonctionnelle du processus « Stratégie »

Tableau 3 – Liste des familles de sources de danger

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________

Tableau 4 – Extrait de l’analyse de risques des événements redoutés externes

Tableau 5 – Extrait de l’analyse de risques des événements redoutés internes

C’est une matrice carrée comportant n lignes et n colonnes avec

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

__________________________________________________________________________________________ ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES

danger peut avoir plusieurs types de conséquences appartenant aux

processus de danger le plus « dépendant » dans le système ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

tiwekacontentpdf_ag1585 Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253

ÉTUDE SYSTÉMIQUE DE L’ANALYSE DE RISQUES __________________________________________________________________________________________

Tableau 6 – Processus de danger relatifs à l’explosion de la navette Challenger